accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Respect du RGPD et traitement des données personnels : des obligations qui fluctuent selon le rôle des intervenants

CNIL, actualités, 6 juin 2025 (RGPD)
[06.06.2025]

Avant de traiter des données personnelles, souligne la CNIL, il est essentiel que les acteurs identifient leurs rôles : responsable du traitement, sous-traitant ou responsable conjoint du traitement.

Toute personne physique ou organisme doit déterminer son rôle avant de collecter et de traiter des données personnelles. Cette qualification ne dépend pas d'un choix contractuel mais des faits : qui décide de quoi ? qui exécute quoi ? Cette distinction est cruciale car elle détermine les obligations de chacun.

Le Comité européen de la protection des données (CEPD) a défini certains critères pour déterminer si un organisme intervient en qualité de responsable, de responsable conjoint ou de sous-traitant :

  • Le responsable du traitement est la personne physique ou morale qui détermine les objectifs et les moyens du traitement, c'est-à-dire qui décide du « pourquoi » et du « comment » de l'utilisation des données personnelles ;

  • Lorsque deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement, ils sont responsables conjoints du traitement ;

  • Le sous-traitant est une personne ou un organisme qui traite les données personnelles pour le compte du responsable du traitement. Il doit toujours respecter les instructions données par le responsable du traitement.

La qualification des acteurs détermine concrètement leurs obligations. Bien identifier son rôle permet de mieux comprendre ce que l'on doit faire pour respecter le RGPD et ce dont on est légalement responsable. En cas de doute, il est important de documenter la réflexion menée pour aboutir à cette qualification et de pouvoir la justifier.

Le responsable du traitement doit s'assurer que le sous-traitant offre toutes les garanties nécessaires pour respecter le RGPD avant de lui confier un traitement de données personnelles.

Les responsables conjoints du traitement doivent définir ensemble, par écrit et de manière transparente, la répartition de leurs obligations, notamment qui répond aux demandes des personnes concernées et les informe ; et qui gère la sécurité, les fuites de données ou les analyses d'impact sur la protection des données.

La qualification des acteurs est essentielle pour assurer une conformité effective au RGPD. La CNIL met à disposition des exemples sectoriels concrets sur son site pour aider les acteurs à mieux comprendre les critères à prendre en compte pour se qualifier correctement.

En cas de contrôle, la CNIL n'est pas liée par les qualifications contractuelles retenues entre les parties. Elle analyse les responsabilités des acteurs au regard des justifications fournies et de leur influence sur le traitement de données. Elle peut requalifier les rôles des acteurs si elle estime que la qualification retenue ne reflète pas la réalité, avec des conséquences potentielles en matière de sanctions. Cela souligne l'importance d'une qualification rigoureuse et documentée dès la conception d'un traitement.